Hadoop基础-HDFS安全管家之Kerberos实战篇

时间:2021-09-27 00:28:52

              Hadoop基础-HDFS安全管家之Kerberos实战篇

                                     作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

  我们都知道hadoop有很多不同的发行版,比如:Apache Hadoop,CDH,HDP,MapR,EMR等等,我们使用这些组件部署的hdfs分布式文件系统时,都会面临很直接的一个安全问题,比如Java大数据开发工程师可以在java源代码中使用“System.setProperty("HADOOP_USER_NAME","yinzhengjie");”来提权操作,只要client能够连接上hadoop集群就能或得hadoop集群上“yinzhengjie”这个用户对应的权限。这样做是很不安全的!而实行Kerberos后,任意机器的任意用户都必须现在 Kerberos 的 KDC 中有记录,才允许和集群中其它的模块进行通信。

一.Kerberos工作原理

Hadoop基础-HDFS安全管家之Kerberos实战篇

如上图所示,详细步骤如下:
>.用户发送自己的用户信息给KDC;
>.KDC访问AS服务,获得TGT;
>.KDC用client key加密TGT以及一个Session Key给用户;用户得到加密数据后,使用client key解密得到TGT和Session Key;
>.Client将之前获得TGT和要请求的服务信息(服务名等)发送给KDC;
>.认证用户合法后,KDC中的TGS将Session Key和用户名,用户地址(IP),服务名,有效期, 时间戳一起包装成一个Ticket;
>.KDC将Ticket用Server key加密并发送Client;
>.此时Client没有密钥B所以他无法查看Ticket中的内容,于是Client将Ticket直接转发Service;同时Client将自己的用户名,用户地址(IP)打包成Authenticator,用之前获得的Session Key加密也发送给Service。
>.客户端验证过程:Service 收到Ticket后利用它与KDC之间的Server key将Ticket中的信息解密出来,从而获得Session Key和用户名,用户地址(IP),服务名,有效期。然后再用SK将Authenticator解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较,从而验证Client的身份。
>.如果Service有返回结果,将其返回给Client。在Hadoop应用中,服务器可以是namenode或jobtracker。 简单的说,使用Kerberos时,一个客户端大致需要经过三个步骤来获取服务:
>.认证:
客户端向认证服务器发送一条报文,并获取一个含时间戳的Ticket-Granting Ticket(TGT)和一个Session Key。
>.授权:
客户端使用TGT向Ticket-Granting Server(TGS)请求一个服务Ticket。
>.服务请求:
客户端向服务器出示服务Ticket,以证实自己的合法性。该服务器提供客户端所需服务,在Hadoop应用中,服务器可以是namenode或jobtracker。 温馨提示:
Kerberos需要The Key Distribution Centers(KDC)来进行认证。KDC只有一个Master,可以带多个slaves机器。slaves机器仅进行普通验证。Mater上做的修改需要自动同步到slaves。另外,KDC需要一个admin,来进行日常的管理操作。这个admin可以通过远程或者本地方式登录。

二.Kerberos部署实战

三.